tomcat配置httponly属性

最新推荐文章于 2024-04-15 22:02:56 发布
最新推荐文章于 2024-04-15 22:02:56 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: Web前端

IBM AppScan 安全扫描:提示Cookie 中缺少 Secure 属性

处理办法在tomcat/conf/ 下找到context.xml修改<Context useHttpOnly="true">,以下为Apache官网描述

refer :http://tomcat.apache.org/tomcat-6.0-doc/config/context.html


 此问题的原因在于防范xss攻击,当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。

HttpOnly属性:如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。

为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性HTTP-only。 这个特性是为Cookie提供了一个新属性,用以阻止客户端脚本访问Cookie。

像这样具有该属性的cookie被称为HTTP-only Cookie。包含在HTTP-only Cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。

 

 

Jacy2005
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat为Cookie设置HttpOnly属性
学习记录和开发记录
07-20 2万+
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的; B:服务端可以自定义建立Cookie对象及属性传递到客户端; 服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击); 方法:
Tomcat中设置Cookie的HttpOly属性
xiaohuochaiwh的博客
03-15 1278
为了减少XSS跨站脚本攻击,防止读取修改cookie的内容,可以在tomcat中为cookie设置HttpOnly属性。 修改文件:tomcat/conf/context.xml 在&lt;Context&gt;标签中增加属性 useHttpOnly="true" 修改前: 修改后: ...
设置Tomcat sessionid的HTTP-only属性
weixin_33966095的博客
10-08 520
2019独角兽企业重金招聘Python工程师标准>>> ...
浏览器工作原理与实践--跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性
最新发布
echohuangshihuxue的博客
04-15 1360
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
tomcat设置httpOnly
weixin_33766168的博客
02-26 1548
经常看到一些人说tomcat6不支持httponly,查阅官方帮助文档后发现是可以支持的,tomcat6的context.xml配置说明 为什么需要httponly sessionid一般是以cookie的形式储存和传送的,除非禁用cookie; cookie是可以通过javascript进行读取,所以需禁用sessioid通过javascript进行读取,这时候就可以通过设置Cookie的htt...
java设置httponly_Tomcat为Cookie设置HttpOnly属性
weixin_29230649的博客
02-26 997
B:服务端可以自定义建立Cookie对象及属性传递到客户端;服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击);方法:为HttpSession安全性考虑,防止客户端脚本读取Session Cookie内容进行诸如CSRF/XSS恶意http攻击,可在to...
PHP设置Cookie的HTTPONLY属性方法
10-20
在`php.ini`配置文件中,你可以通过设置`session.cookie_httponly`参数来开启全局的HTTPOnly属性。将其值设置为1或TRUE,如下所示: ``` session.cookie_httponly = 1 ``` 2. **代码中设置**: 如果你希望在...
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookie的httponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
session配置secure和httpOnly
03-16
本文重点讨论的是Cookie中的两个重要属性:`secure`和`httpOnly`,以及它们在实际应用中的配置和注意事项。 一、属性详解 1. `secure`属性:当设置为`true`时,Cookie只会通过HTTPS安全协议发送到服务器。这意味着...
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie值
01-07
为了对抗这种攻击,HttpOnly属性应运而生。本文将详细介绍HttpOnly属性的作用,以及Java和PHP后台如何设置HttpOnly属性到浏览器的Cookie。 **HttpOnly属性详解** HttpOnly属性是Cookie的一个扩展,其主要目的是...
关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
热门推荐
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
tomcat 配置httponly
weixin_30295091的博客
08-12 371
tomcat6需手动配置,conf/context.xml <Context useHttpOnly="true"> </Context> 对于tomcat7、8来说不需要手动配置,useHttpOnly选项默认为true。 转载于:https://www.cnblogs.com/spacex/p/4724207.html...
tomcat
斜杠码农
08-06 213
项目防止xss攻击设置httponly 在网络上找到的拦截器等,没有达到效果,tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml &lt;Context useHttpOnly="true"&gt;&lt;/context&gt;  2、修改tomcat/conf/web.xml &lt;session-config&gt;  &lt;cookie-conf...
设置cookie的httponly属性
tz_gx的专栏
10-31 2021
方法1: tomcat的conf下的server.xml文件中,添加useHttpOnly="true" 方法2: tomcat的conf下的context.xml文件中,添加useHttpOnly="true"     WEB-INF/web.xml 检查设置成功
Tomcat 修改Cookies安全性
Hern(宋兆恒)
04-20 5796
修改方法 1、进入Tomcat的conf文件夹,打开context.xml文件 2、 将其中的<Context>标签属性更改为<Context useHttpOnly="true">: Cookie常用属性 Cookie名称,Cookie名称必须使用只能用在URL中的字符,一般用字母及数字,不能包含特殊字符,如有特殊字符想要转码。如js操作cookie的时候...
Java 开发 | 安全篇 设置Cookie 的HttpOnly属性
Coder编程的博客
01-16 1万+
关于Cookie的其它只是不在累述、本文主要讲讲自己在项目中遇到的cookie的HttpOnly属性问题 Cookie的HttpOnly属性说明 cookie的两个新的属性secure和Httponly分别表示只能通过Http访问cookie   不能通过脚本访问Cookie、HttpOnly属性在一定程度上可以防止XSS攻击(XSS攻击类似sql注入,更多资料可以百度查阅)。在web
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 1596
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
httponly属性
09-22
HttpOnly属性是一种用于增强cookie安全性的属性。当设置了HttpOnly属性的cookie被发送给浏览器后,通过JavaScript脚本、Applet等程序将无法读取到该cookie的信息,从而有效地防止XSS攻击。换句话说,HttpOnly属性可以防止恶意脚本通过获取cookie信息进行攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值